Cisco router RV320
Billede: Cisco // Sammensætning: ZDNet
Sikkerhed forskere har observeret løbende internet-scanninger og udnyttelse forsøg mod Cisco RV320 og RV325 WAN VPN-routere, to modeller er meget populære blandt de internet-udbydere og store virksomheder.
Angreb i gang på fredag, 25 januar, efter at sikkerhedsekspert David Davidson offentliggjort en proof-of-concept exploit til to Cisco RV320 og RV325 sårbarheder.
Svaghederne er:
CVE-2019-1653 – gør det muligt for en fjernangriber at få følsomme enhed konfiguration detaljer uden en adgangskode.CVE-2019-1652 – gør det muligt for en fjernangriber at injicere og køre admin kommandoer på enheden uden et password.
Begge sårbarheder blev opdaget og privat rapporteret til Cisco Tyskland vagtselskab RedTeam Pentesting [1, 2, 3]. Cisco har udgivet patches til både spørgsmål på onsdag, 23 januar [1, 2].
Den nuværende konsensus er, at angriberne ved hjælp af Davidson ‘ s proof-of-concept kode til at hente konfiguration oplysninger ved hjælp af CVE-2019-1652 og derefter bruge CVE-2019-1653 til at køre flere kommandoer, er at tage fuld kontrol over sårbare enheder.
“Jeg anbefaler, at berørte brugere til at opgradere til firmware version 1.4.2.20 og ændre deres enhed adgangskoder samme,” siger sikkerhedsekspert Troy Mursch, Bad Pakker LLC, der først fik øje på det scanninger på fredag.
“Det er sandsynligt, at disse routere vil blive ramt af forbrydere for misbrug, men til hvilken grad endnu er ukendt. CVE-2019-1652 giver mulighed for yderligere udnyttelse, når de legitimationsoplysninger, der er opnået,” Mursch fortalte ZDNet.
“Jeg er enig med denne fyr,” Mursch pegede ZDNet til en af Davidson ‘ s tweets.
ja stort set alle, unpatched er nok fucked. bortset fra det faktum, at ‘wget’ på disse kasser er brudt den halve tid, og dens sandsynligvis ud over din gennemsnitlige skid at krydse kompilere deres mirai bot til den korrekte mips64rev2 lort (for nu)
— nogle person (@info_dox) 26 januar 2019
Mursch også bruges BinaryEdge, en søgemaskine til internet-tilsluttede enheder, til at opspore alle Cisco RV320 og RV325 routere, der er sårbare over for disse angreb.
Efter en nat med at undersøge, forskeren opsporet 9,657 enheder-som 6,247 er Cisco RV320 routere, og resten, 3,410, er Cisco RV325 routere.
Mursch har bygget et interaktivt kort med de data, han har opnået, viser placeringen af alle inficerede værter. Langt de fleste af disse enheder er placeret på netværk af AMERIKANSKE Internetudbydere.
“På grund af den følsomme karakter af disse sårbarheder, IP-adresser på de berørte Cisco RV320/RV325 routere vil ikke blive udgivet offentligt. However, den liste, der er frit tilgængelig for autoriserede CERT teams til at gennemgå. Vi har delt vores resultater direkte med Cisco PSIRT og US-CERT for yderligere undersøgelse og oprydning,” Mursch skrev i en særskilt beretning, som offentliggøres i dag.
Som Mursch påpeget tidligere i artiklen, den enkleste måde at mindske disse angreb ville være at opdatere Cisco RV320 og RV325 router firmware. Få patchin’!
Mere sikkerhed dækning:
DHS spørgsmål sikkerhedsadvarsel om de seneste DNS kapring attacksNew ransomware stamme er at låse op Bitcoin mining rigge i ChinaConcerns rejst om WordPress’ nye ‘Hvid Skærm Af Død” beskyttelse featureMalvertising kampagne er målrettet Apple-brugere med ondsindede kode skjult i billeder
Chrome API opdatering vil dræbe en masse andre udvidelser, ikke bare annonce blockersInternet eksperiment går galt, tager ned i en flok af Linux routersBrave browser nu kan vise annoncer, og snart vil du få 70% af de penge, CNET
Hvorfor cryptojacking vil blive et endnu større problem i 2019 TechRepublic
Relaterede Emner:
Datacentre
Sikkerhed-TV
Data Management
CXO